La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Domande frequenti per argomento

Per identificare tempestivamente i tentativi (compresi quelli riusciti) di accessi non autorizzati su dispositivi finali e adottare misure appropriate, si consiglia di utilizzare l'audit della sicurezza.

A questo scopo:

  1. Andare a Pannello di controllo → Strumenti di amministrazione → Criteri di sicurezza locale → Configurazione dei criteri di audit avanzati → Accesso agli oggetti → Audit del file system. Attivare l'audit del file system per il successo e il rifiuto.

  2. Quindi attivare l'audit per la cartella richiesta:

    1. aprire le proprietà della cartella condivisa → scheda Sicurezza → Avanzate → scheda Audit → Modifica → Aggiungi;

    2. indicare gli utenti per cui si vuole registrare l'audit. Impostare Tutti, il livello di applicazione – Per questa cartella e le relative sottocartelle e file;

    3. indicare le azioni di cui verrà registrato l'audit: Creazione file/aggiunta dati, Creazione cartelle/aggiunta dati, Rimozione sottocartelle e file e semplicemente Rimozione. Per tutte le azioni selezionare l'audit per il successo e il rifiuto.

Dopo questo nel log degli eventi di sicurezza inizieranno a comparire gli eventi di accesso a file e cartelle.

Se in un sistema con l'audit già configurato l'antivirus reagisce a qualche modifica nel file system, assicurarsi di ricordare l'ora della reazione e confrontarla con gli eventi nel log di sicurezza.

Si possono leggere i codici degli eventi di sicurezza sul sito ufficiale Microsoft.

L'argomento della necessità del supporto SHA-256 su sistemi operativi utente è trattato con maggiore dettaglio su questa pagina, e inoltre, nella nostra notizia. Qui è possibile leggere le informazioni ufficiali Microsoft.

Si tratta dei sistemi operativi Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2.

La necessità di aggiornamento è dovuta alla politica Microsoft che non consente più alle autorità di certificazione di terze parti (DigiCert, COMODO ecc.) di emettere certificati con cui possono essere firmati moduli per il funzionamento nel kernel del sistema operativo Windows. Solo Microsoft può firmare moduli per il kernel con il suo certificato WHQL che esiste solo sotto forma della versione SHA256. Per maggiori informazioni consultare la documentazione Microsoft.

Dr.Web continua a supportare sistematicamente versioni obsolete di Windows.

Se durante l'installazione o l'aggiornamento di Dr.Web compare un messaggio che informa che il sistema operativo non supporta l'algoritmo di hash SHA-256, installare l'aggiornamento richiesto dalla lista sottostante.

Gli aggiornamenti per l'utilizzo di SHA-256 possono essere presenti anche in altri aggiornamenti di Windows.

Per disattivare l'avviso:

  1. Aprire il menu Dr.Web drweb e selezionare la voce Centro sicurezza.
  2. Assicurarsi che Dr.Web funzioni in modalità amministratore (il lucchetto nella parte inferiore del programma è "aperto" drweb ). Altrimenti, fare clic sul lucchetto drweb .
  3. Nella parte superiore della finestra del programma fare clic su drweb .
  4. Si aprirà una finestra con le impostazioni principali del programma. Nella parte sinistra della finestra selezionare la voce Aggiornamento.
  5. Per andare alle impostazioni avanzate, nella finestra Aggiornamento (vedi immagine Impostazioni di aggiornamento) fare clic sul link Impostazioni avanzate.
  6. Nella sezione Componenti da aggiornare selezionare "Solo i database dei virus".

L'azienda Microsoft ha rilasciato aggiornamenti per Microsoft Exchange Server 2016 (KB5003611) e Microsoft Exchange Server 2019 (KB5003612) che consentono ai server di posta Exchange delle versioni indicate di funzionare con l'interfaccia AMSI (Antimalware Scan Interface). Ora un software antivirus che funziona con l'interfaccia AMSI ed è installato sullo stesso computer del server Microsoft Exchange esegue la scansione di tutte le richieste HTTP prima che vengano elaborate dal server di posta stesso.

In relazione a questo, il funzionamento dell'antivirus Dr.Web per server Windows e di Agent Dr.Web per Windows con supporto AMSI attivato può ridurre significativamente la velocità di funzionamento del server e causare problemi di prestazioni del software antivirus. Una release con un aggiornamento che risolve il problema indicato è stata rilasciata il 17 gennaio 2022. Fino a quando non verrà installato questo aggiornamento, gli sviluppatori software Doctor Web raccomandano di disattivare il supporto dell'interfaccia AMSI nei server di posta Exchange.

Per disattivare AMSI nei prodotti Microsoft Exchange Server, utilizzare l'interfaccia Exchange Server PowerShell:

  1. Aprire Exchange Server PowerShell.
  2. Eseguire sequenzialmente i seguenti comandi:
        
    [PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
    
    [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    
    [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
    

Importante: prima di eseguire i comandi, assicurarsi che tutti i dati siano salvati in quanto le azioni indicate porteranno al riavvio dei servizi Internet Information Services (IIS) e all'interruzione della connessione.

Raccomandiamo di riattivare il supporto dell'interfaccia AMSI sul server di posta quando il problema indicato verrà risolto con il rilascio dell'aggiornamento corrispondente. Per fare questo, è necessario eseguire i seguenti comandi tramite Exchange Server PowerShell:


[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false

[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

[PS] C:\>Restart-Service -Name W3SVC, WAS -Force

Importante: prima di eseguire i comandi, assicurarsi che tutti i dati siano salvati in quanto le azioni indicate porteranno al riavvio dei servizi Internet Information Services (IIS) e all'interruzione della connessione.

È anche possibile disattivare AMSI tramite uno script PowerShell già pronto:

  1. Scaricare lo script Test-AMSI.ps1 dal repository Microsoft utilizzando questo link.
  2. Collocare lo script nella cartella C:\scripts in cui è installato Microsoft Exchange Server. Se la cartella scripts non c'è, crearla. Controllare necessariamente che il file sia sbloccato per evitare errori all'avvio dello script.
  3. Eseguire sequenzialmente i seguenti comandi:
        
    [PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
    
    [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
    

Per riattivare AMSI sul server Microsoft Exchange, eseguire sequenzialmente i seguenti comandi:


[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI

[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS

Back

Nothing found